Vimeo sofre ataque de hackers e tem dados de 119 mil usuários expostos
A plataforma de vídeos Vimeo foi alvo de um ataque cibernético massivo em abril de 2026, resultando na exposição de dados pessoais de cerca de 119 mil usuários. O incidente, reivindicado pelo grupo de extorsão digital ShinyHunters, veio à tona após o serviço de notificação de violação de dados Have I Been Pwned confirmar o comprometimento das informações.
Como o ataque ocorreu e o papel da Anodot
Em 27 de abril, o Vimeo divulgou que a violação originou-se de um incidente na Anodot, empresa parceira especializada em detecção de anomalias de dados. Essa integração permitia à plataforma monitorar métricas internas, mas também abriu uma porta de entrada explorada pelos criminosos.
Os invasores exploraram credenciais de autenticação da Anodot, obtendo acesso indevido a bancos de dados do Vimeo. Segundo a empresa, os registros comprometidos continham títulos de vídeos, metadados e endereços de e-mail de alguns usuários, mas não dados financeiros ou senhas.
“As credenciais de login, vídeos e informações de pagamento dos usuários permanecem seguras. O incidente não causou interrupções nos serviços”, afirmou o comunicado do Vimeo.
Declaração oficial do Vimeo
O vazamento e as ações do grupo ShinyHunters
Após a divulgação do ataque, o grupo ShinyHunters publicou um arquivo de 106 GB em seu site na dark web, contendo os dados obtidos. O coletivo afirmou que tentou negociar com o Vimeo, mas sem sucesso — motivo pelo qual decidiu expor publicamente as informações.
O grupo, conhecido por realizar ataques contra grandes corporações, alegou que os dados foram obtidos a partir de credenciais válidas da Anodot e serviços associados ao Snowflake e Google BigQuery. Segundo o grupo, “o Vimeo recusou nossas ofertas, mesmo após diversas tentativas de negociação”.
Quem é o ShinyHunters – grupo por trás do ataque
O ShinyHunters ganhou notoriedade internacional por sucessivos ataques de roubo e venda de dados corporativos. Em anos anteriores, o grupo foi associado a incidentes envolvendo empresas como Rockstar Games, McGraw Hill, Zara, 7-Eleven e até mesmo instituições governamentais, como a Comissão Europeia.
De acordo com fontes especializadas, o grupo tem usado técnicas sofisticadas para quebrar autenticações SSO (Single Sign-On) e explorar falhas em integrações de SaaS como Salesforce, Slack e Adobe, o que demonstra um padrão de ataque voltado a ecossistemas corporativos interconectados.
Reação e medidas de segurança do Vimeo
Após detectar a violação, o Vimeo desativou todas as credenciais da Anodot, removeu a integração e contratou uma equipe de especialistas em segurança cibernética para investigar o caso. A empresa também notificou as autoridades competentes e os usuários afetados.
Apesar do impacto, a plataforma garantiu que nenhum serviço foi interrompido e que as informações sensíveis dos usuários, como senhas e cartões de crédito, não foram acessadas. Ainda assim, o incidente reforça a importância do monitoramento das cadeias de fornecedores digitais e das integrações externas em empresas de tecnologia.
Impacto e análise do incidente
Embora as perdas financeiras diretas ainda não tenham sido divulgadas, o evento coloca em alerta o mercado de mídia digital. A Have I Been Pwned relatou que cerca de 119.200 endereços de e-mail e nomes estavam incluídos no pacote vazado, tornando o caso relevante não apenas para os usuários afetados, mas também para as políticas de proteção de dados das empresas.
Especialistas também apontam que este incidente reafirma o crescimento de ataques multiplataforma em serviços SaaS — com foco em terceiros integrados — um tipo de vulnerabilidade cada vez mais explorado por grupos que visam grandes volumes de dados corporativos.
Como os usuários podem se proteger
- Monitore seus dados em plataformas como Have I Been Pwned para detectar exposições recentes.
- Ative autenticação em dois fatores (2FA) em todas as contas online.
- Evite reutilizar senhas entre plataformas de vídeo, redes sociais e e-mails.
- Desconfie de comunicações suspeitas que solicitem atualizações de dados ou redefinições de senha.
Perguntas frequentes sobre o ataque ao Vimeo
O que foi comprometido no ataque ao Vimeo?
O incidente expôs principalmente dados técnicos, títulos de vídeos, metadados e endereços de e-mail. Nenhuma senha ou informação de pagamento foi roubada.
Quem é o grupo ShinyHunters?
É um coletivo internacional de cibercriminosos conhecido por ataques de extorsão digital contra grandes empresas e vazamentos de dados em escala global.
Como saber se meus dados foram vazados?
É recomendado verificar no site Have I Been Pwned, que já adicionou o banco de dados vazado pelo ShinyHunters em seu sistema de notificação.
O Vimeo tomou quais medidas de segurança?
A empresa desativou as credenciais da Anodot, removeu integrações, reforçou protocolos internos e contratou especialistas em segurança cibernética para investigação.
Considerações finais
O ataque ao Vimeo representa mais um alerta sobre os riscos inerentes à economia digital e às cadeias de integração de serviços. Apesar de as informações mais sensíveis não terem sido comprometidas, o caso reforça que a segurança de dados deve ser uma prioridade estratégica — tanto para empresas quanto para usuários. A rápida resposta do Vimeo ajudou a conter danos maiores, mas o episódio será um novo ponto de inflexão no debate sobre cibersegurança corporativa e responsabilidade digital.
